Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Voor BadRabbit-ransomwareaanval gebruikte servers zijn alweer offline'

De servers die zijn gebruikt bij de verspreiding van de BadRabbit-malware, zijn inmiddels alweer offline gehaald volgens verschillende beveiligingsbedrijven. De ransomware kwam dinsdagavond tevoorschijn en trof vooral organisaties in Rusland en Oekra´ne.

Eerder bleek al uit verschillende analyses dat de ransomware werd verspreid door middel van drive by-downloads, waarbij bezoekers van ge´nfecteerde sites een nep-update van Flash kregen voorgeschoteld. Dat gebeurde onder andere op nieuwswebsites. De servers die werden gebruikt om de kwaadaardige update aan te bieden, waren na enkele uren alweer offline, vertellen beveiligingsbedrijven aan Motherboard. Het is onduidelijk wie verantwoordelijk is voor het neerhalen van de servers. Symantec heeft statistieken gepubliceerd waarin te zien is dat er een piek in het aantal infecties zat in de eerste twee uur van de aanvallen.

 Statistieken van het aantal infecties per uur, volgens Symantec

Het Amerikaanse beveiligingsbedrijf meldt verder dat 86 procent van de infectiepogingen plaatsvond in Rusland, wat overeenkomt met eerdere berichten. In meer dan 80 procent van de infectiepogingen ging het om systemen van bedrijven en niet van consumenten. Woensdag schreef beveiligingsbedrijf Malwarebytes dat de groep achter BadRabbit misschien ook verantwoordelijk was voor NotPetya. Inmiddels hebben meer bedrijven in de sector die conclusie getrokken. Onderzoeker Bart Parys schrijft daarnaast dat de aanval misschien een rookgordijn was om een andere aanval te verhullen.

ESET publiceerde na de NotPetya-aanvallen een analyse waarin het de malware toeschreef aan een groep die het TeleBots noemt. Die zou al langer doelwitten in Oekra´ne op het oog hebben. Een ander bedrijf, RiskIQ, heeft inmiddels ook een analyse van BadRabbit gepubliceerd, waarin het ingaat op de bij de recente aanval gebruikte infrastructuur. Het meldt dat deze deels al aan het begin van vorig jaar online was. Kaspersky-onderzoeker Costin Raiu kwam tot dezelfde conclusie. Ook noemt RiskIQ de mogelijkheid dat de infrastructuur oorspronkelijk voor een andere campagne dan BadRabbit was opgebouwd.

Door

Nieuwsredacteur

14 Linkedin Google+

Reacties (14)

Wijzig sortering
Blijkbaar was het bij Flash altijd gangbaar om je beheerdersrechten nodig te hebben voor het bijwerken. Eigenlijk wel kwalijk dat je dat soort rechten ook bij 'eenvoudige' handelingen als een update ook nodig hebt. Hierdoor worden mensen een beetje permissie- en wachtwoordmoe en wordt er niet meer gekeken welk proces het vraagt, omdat je het blijkbaar bij elke scheet al nodig hebt.
Maar is het zo raar om extra rechten nodig te hebben om te updaten? Op linux is dit helemaal niet raar, en voor de gemiddelde windowsgebruiker (die op een systeem werkt waar ook daadwerkelijk een beheerder is) is het echt niet zo raar. Daarnaast wil ik ook niet dat een programma zomaar kan updaten.

Beetje #firstworldproblems, maar je wilt niet weten hoe vaak ik wel niet in chrome wou kijken welke versie ik had om een bugreport aan te maken voor het een of ander, om vervolgens een update te triggeren door het op te zoeken bij de about page waardoor ik moet wachten op de update en de actie opnieuw moet proberen omdat ik een nieuwe versie heb.

Maar om terug te gaan naar beheerde Windows: de beheerders zijn verantwoordelijk voor de bruikbaarheid van de systemen en het is nogal eens voorgekomen dat een update meer problemen gaf dan dat het oplostte. Laat beheer dat lekker testen en deployen wanneer ze weten dat het goed is.

Voor de thuisgebruiker klopt je punt wel grotendeels, maar ook daarbij is het niet (imo) niet handig om updates altijd te kunnen doen zonder beheerdersrechten.
Ik vind dit zeker geen firstworldproblems, maar echt software-architect design flaws.
Voor de thuisgebruiker klopt je punt wel grotendeels, maar ook daarbij is het niet (imo) niet handig om updates altijd te kunnen doen zonder beheerdersrechten.
Dat is de grootste groep, mensen die in hun 1'tje het systeem gebruiken. Die moeten tegelijkertijd alle normale dingen zonder poeha kunnen, terwijl kwalijke software dat niet kan. Ook de inrichting bij Linux vind ik vrij middeleeuws. Als ik voor elk programma in de Ubuntu Software store m'n wachtwoord moet invullen, hoe weet ik dan wanneer het nÝet de bedoeling is deze in te typen als een malafide programma dit ineens ook vraagt? De handeling is immer vertrouwd geworden.

Daarnaast zijn juist de meest essentiŰle bestanden, de gebruikersbestanden, helemaal niet beschermd bij hedendaagse computer-OS'en, en wordt ten onrechte alleen het systeemeigene als cruciaal en beschermd gezien. Elk random programma heeft bij zowel Windows als Linux alle schrijf- en leesrechten op data in de gebruikersmappen. Een design flaw van formaat noem ik dat, en dat zie je ook steeds meer terug in de opkomst van ransomware.
Dus wachtwoordmoeie mensen zijn mensen die het een first world problem vinden als ze aangevallen worden door virussen/malware(same shit)?

Wat is dat nou weer voor bagger reactie? Discord heeft geen administratierechten nodig om te updaten, Spotify niet, Steam niet, and the list goes on, and on, and on (Begrijp me niet verkeer er is genoeg dat Spotify of Discord fout doet. (Installeren in %AppData%.)). Waarom Flash dan wel? Waarom zoveel andere als Flash dan wel (Kan nu even niet met meer voorbeelden komen, maar ze zijn er.)? Waarom al die programma's die administratierechten nodig hebben is waarschijnlijk omdat ze een aanpassing willen maken ergens waar er Řberhaupt geen aanpassing zou moeten gemaakt worden. Enfin, dat is een heel ander (ethisch) onderwerp, zoals @MsG al zei: software-architect design flaws. Gelukkig gaat Flash de wereld uit, en met good riddance.

Het kan niet zo zijn dat als mensen een update uitvoeren ze hiervoor dusdanige aanpassingen moeten maken dat er administratierechten voor nodig zijn. Dat zou hetzelfde zijn als dat voor elke keer dat je een nieuw tabblad opent- sterker nog - een nieuwe webpagina bezoekt het toegang geeft tot je gehele computer. Dat gebeurd ook niet. Waarom hier dan wel? Ik vind hier ook kwaad bij Microsoft bij te vinden. Die zouden een goede manier van installeren moeten bedenken waardoor dit soort dingen minder mogelijk zijn om te gebeuren. Een apart Registry, een goeie verdeling tussen software dat hardware aanstuurt (drivers) en userprograms, i.e. splits het op. Kijk naar Apple. Als je daar een app installeert kan hij bij data op je schijf, maar kan hij niet ineens al je bestanden encrypten. Of Linux waar je voor gebruikers kan instellen wat hun su inhoud en of ze een hoger level van su nodig hebben voor bepaalde acties, bijvoorbeeld. Maar zowel Linux als Windows lijden hier onder.

Misschien is een nog beter idee om ALLE updates die programma's hebben te laten gaan via Windows Update. Windows Update runt via SYSTEM en krijgt zijn updates dus van de mirrors die jij hem geeft. Als we dat nu omdraaien en Windows Update kunnen laten subscriben op die mirrors zodra je een programma zoals Flash, Discord, Steam, etc., installeert dan zou het probleem van je software up-to-date houden nog minder worden aangezien Windows Update een hele klus is om niet automatisch te maken.

Helaas zal dit goed moeten worden ge´mplementeerd anders heb je er nog weinig aan, wat waarschijnlijk het enige obstakel is voor deze oplossing.
Dat gezeur had ik jaren geleden op m'n werk: Flash kreeg zowat iedere maand een update, maar ICT deed maar 3x per jaar een nieuwe installatie hiervan. Gevolg was dat je zowat altijd meldingen kreeg over dat Flash out of date was, maar dat je niet kon updaten, omdat je hiervoor geen rechten had. :|

Wat dat betreft blij dat Flash geen noodzakelijke plugin meer is tegenwoordig.
Laat me raden, en de 3 keer dat ze updaten gingen ze alle werkstations af i.p.v. een centraal update systeem? :P
Maakt afaik bij iets als een Flash niet zoveel verschil.

Dat werd vroeger in ieder geval in zo'n rot-container geleverd dat je of kon kiezen voor een halve dag elke maand die container ombouwen zodat je centrale update systeem ermee om kon gaan of idd gewoon 3x per jaar de pc's aflopen.

Flash is in het verleden iets te vaak een msi gevuld met troep geweest (als ze al een msi leverden) waarbij je eerst door 30 hoepels moest springen voordat het zich behoorlijk ging gedragen.
De ransomware kwam dinsdagavond tevoorschijn en trof vooral organisaties in Rusland en Oekra´ne.

Je zou toch verwachten dat je geen beheerdersrechten hebt in een bedrijfsomgeving.
Blijkbaar was het bij Flash altijd gangbaar om je beheerdersrechten nodig te hebben voor het bijwerken. Eigenlijk wel kwalijk dat je dat soort rechten ook bij 'eenvoudige' handelingen als een update ook nodig hebt.
Het probleem is dat je feitelijk de keuze hebt tussen per gebruiker installeren in zijn/haar userspace of admin rechten nodig hebben om het op de pc te installeren.

En bij iets braks als flash ben je maar al te blij dat die niet al je user-profielen volgooit met simpelweg de troep die meegeleverd wordt.
Mag ik uit deze cijfers opmaken dat de paniek groter was dan de besmetting zelf?
(Wat niet wegneemt dat het erg vervelend is voor die bedrijven/personen die wÚl geraakt zijn.)
Weer binnen flash. Snap niet dat mensen dat nog gebruiken.
Hier was niks mis met flash, ze lieten een nep-update bericht zien. Dit linkte in plaats van naar de website van Adobe naar het virus.
Ik begrijp dat er hier niets mis was met Flash, en dat dit met een andere extensie ook had kunnen gebeuren.
Maar toch dacht ik bij dit bericht toch hetzelfde, zodra er nog flash gebruikt wordt skip ik die en dus ook de "installeer/update" berichten die je ervoor krijgt.
Dat is precies wat ik bedoel, bedankt voor de complete uitleg.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*